Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Ejemplos de políticas de seguridad

En esta página se describen ejemplos de configuraciones de políticas de seguridad para diferentes tipos de balanceadores de carga y políticas de seguridad.

Crear políticas de seguridad

Puedes usar la Trusted Cloud consola o la CLI de gcloud para crear políticas de seguridad. En las instrucciones de esta sección se presupone que vas a configurar políticas de seguridad para aplicarlas a un balanceador de carga de aplicación externo global o a un balanceador de carga de aplicación clásico y un servicio de backend. Para ver un ejemplo de cómo rellenar los campos, consulta la sección Crear el ejemplo.

Consola

Crea políticas y reglas de seguridad de Cloud Armor y vincula una política de seguridad a un servicio de backend:

En la Trusted Cloud consola, ve a la página Políticas de Google Cloud Armor.

Ir a las políticas de Google Cloud Armor
Haz clic en Crear políticas.
En el campo Name (Nombre), introduce el nombre de tu política.
Opcional: Escribe una descripción de la política.
En Tipo de política, elige Política de seguridad de backend o Política de seguridad de Edge.
En Acción de regla predeterminada, selecciona Permitir para una regla predeterminada que permita el acceso o Denegar para una regla predeterminada que impida el acceso a una dirección IP o a un intervalo de direcciones IP.

La regla predeterminada es la regla de prioridad más baja que solo se aplica si no se aplica ninguna otra regla.
Si configuras una regla de Denegar, selecciona un mensaje de Estado de denegación. Este es el mensaje de error que muestra Cloud Armor si un usuario sin acceso intenta obtenerlo.
Independientemente del tipo de regla que estés configurando, haz clic en Siguiente paso.

Añade más reglas:

Haz clic en Añadir regla.
Opcional: Escribe una descripción de la regla.
Selecciona el modo:
- Modo básico: permite o deniega el tráfico en función de las direcciones o los intervalos de IP.
- Modo avanzado: permite o deniega el tráfico en función de expresiones de reglas.
En el campo Concordancia, especifique las condiciones en las que se aplica la regla:
- Modo básico: introduce las direcciones IP o los intervalos de IP que quieras que coincidan con la regla.
- Modo avanzado: introduce una expresión o subexpresiones para evaluarlas en las solicitudes entrantes. Para obtener información sobre cómo escribir las expresiones, consulta el artículo Configurar atributos de idioma de reglas personalizadas.
En Acción, selecciona Permitir o Denegar para permitir o denegar el tráfico si la regla coincide.
Para habilitar el modo de vista previa, selecciona la casilla Habilitar. En el modo de vista previa, puedes ver cómo se comporta la regla, pero no está habilitada.
Introduce la prioridad de la regla. Puede ser cualquier número entero positivo entre 0 y 2.147.483.646, ambos incluidos. Para obtener más información sobre el orden de evaluación, consulta Orden de evaluación de las reglas.
Haz clic en Listo.
Para añadir más reglas, haga clic en Añadir regla y repita los pasos anteriores. De lo contrario, haz clic en Siguiente paso.

Aplica la política a los destinos:

Haga clic en Añadir objetivo.
En la lista Destino, selecciona un destino.
Para añadir más objetivos, haga clic en Añadir objetivo.
Haz clic en Listo.
Haz clic en Crear política.

gcloud

Para crear una política de seguridad de Cloud Armor, usa el comando gcloud compute security-policies create.

En el campo type, usa CLOUD_ARMOR para crear una política de seguridad de backend o CLOUD_ARMOR_EDGE para crear una política de seguridad de edge. La marca type es opcional. Si no se especifica ningún tipo, se crea una política de seguridad de backend de forma predeterminada:
```
gcloud compute security-policies create NAME \
   [--type=CLOUD_ARMOR|CLOUD_ARMOR_EDGE] \
   [--file-format=FILE_FORMAT | --description=DESCRIPTION] \
   [--file-name=FILE_NAME]
```
Haz los cambios siguientes:
- NAME: el nombre de la política de seguridad
- DESCRIPTION: la descripción de la política de seguridad
El siguiente comando actualiza una política que has creado anteriormente, activa el análisis JSON y cambia el nivel de registro a VERBOSE:
```
gcloud compute security-policies update my-policy \
    --json-parsing=STANDARD \
    --log-level=VERBOSE
```

Para añadir reglas a una política de seguridad, usa el comando gcloud compute security-policies rules create PRIORITY.

gcloud compute security-policies rules create PRIORITY  \
    [--security-policy POLICY_NAME] \
    [--description DESCRIPTION] \
    --src-ip-ranges IP_RANGE,... | --expression EXPRESSION \
    --action=[ allow | deny-403 | deny-404 | deny-502 ] \
    [--preview]

Sustituye PRIORITY por la prioridad asignada a la regla en la política. Para obtener información sobre cómo funciona la prioridad de las reglas, consulta el artículo Orden de evaluación de las reglas.

Por ejemplo, el siguiente comando añade una regla para bloquear el tráfico de los intervalos de direcciones IP 192.0.2.0/24 y 198.51.100.0/24. La regla tiene la prioridad 1000 y es una regla de una política llamada my-policy.

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403"

Si se añade la marca --preview, la regla se añade a la política, pero no se aplica y solo se registra el tráfico que la active.

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403" \
    --preview

Usa la marca --expression para especificar una condición personalizada. Para obtener más información, consulta el artículo Configurar atributos de idioma de reglas personalizadas. El siguiente comando añade una regla para permitir el tráfico de la dirección IP 1.2.3.4 y contiene la cadena example en el encabezado User-Agent:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')" \
    --action allow \
    --description "Block User-Agent 'example'"

El siguiente comando añade una regla para bloquear las solicitudes si la cookie de la solicitud contiene un valor específico:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')" \
    --action "deny-403" \
    --description "Cookie Block"

El siguiente comando añade una regla para bloquear las solicitudes de la región AU:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU'" \
    --action "deny-403" \
    --description "AU block"

El siguiente comando añade una regla para bloquear las solicitudes de la región AU que no estén en el intervalo de IPs especificado:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU' && !inIpRange(origin.ip, '1.2.3.0/24')" \
    --action "deny-403" \
    --description "country and IP block"

El siguiente comando añade una regla para bloquear las solicitudes con un URI que coincida con una expresión regular:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "request.path.matches('/example_path/')" \
    --action "deny-403" \
    --description "regex block"

El siguiente comando añade una regla para bloquear las solicitudes si el valor decodificado en Base64 del encabezado user-id contiene un valor específico:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
    --action "deny-403" \
    --description "country and IP block"

El siguiente comando añade una regla que usa un conjunto de expresiones preconfigurado para mitigar los ataques de inyección de SQL:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredWaf('sqli-stable')" \
    --action "deny-403"

El siguiente comando añade una regla que usa una expresión preconfigurada para permitir el acceso desde todas las direcciones IP de una lista de direcciones IP con nombre:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredWaf('sourceiplist-fastly')" \
    --action "allow"

Configurar políticas de seguridad para balanceadores de carga de aplicaciones externos regionales

En esta sección se incluye información sobre cómo configurar políticas de seguridad de Cloud Armor con ámbito regional para balanceadores de carga de aplicaciones externos regionales.

Proteger cargas de trabajo con balanceo de carga regional

Sigue estos pasos para configurar una política de seguridad que proteja tu servicio de backend con ámbito regional:

Crea una política de seguridad de ámbito regional.

gcloud compute security-policies create POLICY_NAME \
   --type=CLOUD_ARMOR \
   --region=REGION

Adjunta la política de seguridad de ámbito regional a un servicio backend de ámbito regional. Sustituye BACKEND_NAME por el nombre del servicio backend con ámbito regional que ya tengas.
```
gcloud compute backend-services update BACKEND_NAME \
   --security-policy=POLICY_NAME \
   --region=REGION
```

Aplicar una política de seguridad de Cloud Armor de ámbito regional

Supongamos que eres un administrador de seguridad que quiere cumplir el requisito de residencia de que todas tus cargas de trabajo de backend y reglas de WAF se implementen en una región específica. Supongamos que ya ha hecho lo siguiente:

Has creado servicios backend con balanceo de carga y ámbito regional en la región.
Has inhabilitado las políticas de seguridad de ámbito global que había en tu implementación.
Has creado y adjuntado una política de seguridad de ámbito regional en la misma región (como en la sección anterior).

Puede añadir reglas de WAF y otras reglas avanzadas a su política y, al mismo tiempo, cumplir el requisito mediante los siguientes comandos de ejemplo:

Añade una regla de WAF a la política:

gcloud compute security-policies rules create 1000 --action=deny-404 \
  --expression="evaluatePreconfiguredWaf('xss-v33-stable', ['owasp-crs-v030301-id941100-xss', 'owasp-crs-v030301-id941160-xss'])" \
  --security-policy=POLICY_NAME \
  --region=REGION

Para añadir una regla avanzada a la política, sigue estos pasos:

gcloud compute security-policies rules create 1000 --action=allow \
  --expression="has(request.headers['cookie']) && request.headers['cookie'].contains('80=EXAMPLE')" \
  --security-policy=POLICY_NAME \
  --region=REGION

Añade una regla de limitación de frecuencia a la política:

gcloud compute security-policies rules create 1000 --action=throttle \
  --src-ip-ranges="1.1.1.1/32" \
  --rate-limit-threshold-count=1000 \
  --rate-limit-threshold-interval-sec=120 \
  --conform-action="allow" \
  --exceed-action="deny-429" \
  --enforce-on-key=IP \
  --ban-duration-sec=999 \
  --ban-threshold-count=5000 \
  --ban-threshold-interval-sec=60 \
  --security-policy=POLICY_NAME \
  --region=REGION

Siguientes pasos

A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.

Última actualización: 2025-09-23 (UTC).